پیام‌رسان‌های بومی و ریسک‌های امنیتی پیامک تراکنش‌های خرد

به گزارش پایگاه خبری بانکداری الکترونیک، استفاده نا‌بجا از یک سرویس الکترونیکی در ازای نصب یک پیام‌رسان خاص، موضوعی است که در یکی، دو سال اخیر بارها تکرار شده و حالا با داستان پیام‌رسان ویژه گمرک مجددا در مرکز توجه قرار گرفته است.

همزمان با اقدام اخیر گمرک، وزارت ارتباطات خود از لزوم نصب پیام‌رسان بومی دیگری با نام «پیام ایران» خبر داد که قرار است بستری برای پیشبرد کارهای دستگاه‌های اجرایی باشد.

با وجود حمایت‌های گسترده‌ای که حاکمیت در سال‌های اخیر از پیام‌رسان‌های بومی داشته، این پلتفرم‌ها نتوانسته‌اند در جلب نظر مخاطبان موفق عمل کنند و حالا ناگزیر به استفاده از این رویکرد جدید شده‌اند.

اگرچه برخی سازمان‌ها دلیل این امر را صرفه‌جویی در هزینه ارسال پیامک عنوان کرده‌اند، بررسی‌ها نشان می‌دهد که راه‌های بهتری نسبت به اجبار به نصب یک پیام‌رسان مشخص وجود دارد.

گذشته از آنکه چنین اجباری در استفاده از یک پلتفرم خاص نقض حقوق شهروندی به حساب می‌آید، کارشناسان نسبت به آسیب‌های امنیتی این اقدام، خصوصا در مورد پیام‌های مربوط به تراکنش‌های خرد بانکی هشدار داده‌اند.

با وجود این تاکیدها و صحبت‌های اخیر وزیر ارتباطات که تاکید کرده بود به زودی دولت را به یک آیکون در گوشی هوشمند مردم تبدیل می‌کنیم تا از این طریق تمامی کارهای مرتبط با دستگاه‌های اجرایی به صورت الکترونیکی انجام شود، اما اجبار به نصب یک پلتفرم داخلی خاص از سوی بخش‌های مختلف بارها تکرار شده است و به نظر می‌رسد هنوز ادامه داشته باشد.

پیش از گمرک، دانشگاه آزاد و بانک‌ها دیگر سازمان‌هایی بودند که این رویکرد را دنبال کردند. چندی پیش دانشگاه آزاد ورود دانشجویان به سامانه آموزشی خود و انتخاب واحد را منوط به نصب پیام‌رسان «آی‌گپ» کرده بود.

ریسک امنیتی اطلاعات تراکنش های خرد

شماری از بانک‌ها نیز اخیرا اعلام کرده‌اند که دریافت نوتیفیکیشن تراکنش‌هایی که کمتر از یک مبلغ مشخص باشند، تنها از طریق پیام‌رسان مشخصی ممکن است و کاربران برای اطلاع از این تراکنش‌ها حتما باید این برنامه‌ها را نصب کنند.

میلاد نوری، یکی از کارشناسان حوزه فناوری اطلاعات در گفت‌وگویی به انتقاد از این اقدام بانک‌ها و برخی دیگر از سازمان‌ها پرداخته و می‌گوید: گذشته از آنکه چنین اجباری، بی‌احترامی به حقوق کاربران است، می‌تواند ریسک‌های امنیتی قابل توجهی نیز ایجاد کند.

وی با اشاره به محدود شدن ارسال اطلاعات تراکنش‌های خرد از طریق یک پیام‌رسان مشخص می‌گوید: چنین حرکتی احتمال انجام فیشینگ از حساب کاربران را افزایش می‌دهد.

نوری تاکید می‌کند: تراکنش‌های خرد از طریق رمز دوم غیرپویا قابل انجام هستند. اگر کاربری این اپ‌ها را نصب نداشته باشد و اشتباها بر یک لینک آلوده کلیک کرده باشد، کلاهبرداران می‌توانند مکررا مبالغ اندک از حساب‌ها برداشت کنند و کاربر حتی از انجام آن مطلع نشود.

ریسک نشت اطلاعات شخصی

نوری می‌افزاید: از سوی دیگر، تعدد جمع‌آوری اطلاعات کاربران توسط اپ‌های مختلف، ریسک نشت اطلاعات شخصی آنها را نیز افزایش می‌دهد.

وی با اشاره به ضعف قابل توجه بسیاری از پایگاه‌های داده‌ای کشور و سوابق متعدد نشت اطلاعات کاربران یک سازمان یا برنامه خاص می‌گوید: با نصب هر پیام‌رسان، کاربر اجازه دسترسی به بخش‌های مختلف گوشی اعم از لیست مخاطبان، فایل‌های ذخیره شده و… را به برنامه می‌دهد و زمانی که تعداد برنامه‌های نصب شده از این جنس زیاد می‌شود، به همان نسبت ریسک نشت اطلاعات کاربران نیز افزایش می‌یابد.

این کارشناس حوزه فناوری معتقد است که اگر قرار است با هدف صرفه‌جویی در هزینه‌ها و جلوگیری از ارسال پیامک، دادن سرویس به یک پلتفرم الکترونیکی ثانوی منتقل شود، حتما باید بستری ایجاد شود که یک سامانه متمرکز پاسخگوی تمام این نیازها باشد تا از نصب مکرر برنامه‌های متفرقه جلوگیری شود.

نوری می‌گوید: آسیب اجبار به نصب برخی پلتفرم‌های داخلی زمانی جدی می‌شود که برخی از این پیام‌رسان‌ها کاملا ناشناخته‌اند و تعداد نصب آنها محدود به چند هزار است.

در نتیجه عموما شناخت چندانی از باگ‌ها و آنچه در بطن این برنامه‌ها در جریان است وجود ندارد و این کار را سخت می‌کند.

زیرا برخی پیام‌رسان‌های بومی حداقل شناخته شده‌اند. برنامه‌نویسان زیادی بر دسترسی‌ها و روند عملکردی آنها نظارت دارند.

منبع: دنیای اقتصاد